开源扫描工具发布:可检测易受零日攻击的 SharePoint 服务器
字数 1173 2025-09-01 11:26:10

SharePoint零日漏洞CVE-2025-53770检测与防御指南

漏洞概述

CVE-2025-53770是一个影响Microsoft SharePoint Server的严重远程代码执行(RCE)漏洞,CVSS 3.1评分为9.8(严重级)。该漏洞已被野外利用,攻击者可以在无需认证的情况下远程执行任意代码。

受影响版本

  • 未安装安全更新KB5002768和KB5002754的Microsoft SharePoint Server本地版本

漏洞检测工具

工具获取

开源扫描工具托管在GitHub上,可通过以下方式获取:

  • 直接下载源代码或二进制文件
  • 使用Docker容器部署

工具功能

  • 识别易受CVE-2025-53770攻击的SharePoint服务器
  • 提供无害测试,不会造成系统损坏
  • 支持批量扫描多个SharePoint实例
  • 可提取详细的SharePoint版本信息

使用语法

基本扫描命令:

./CVE-2025-53770 [<目标主机名> ...]

启用调试日志和版本信息:

./CVE-2025-53770 -log=debug -version [<目标主机名> ...]

漏洞技术细节

利用机制

漏洞通过以下路径利用:

/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx

关键表单参数:

  • MSOTlPn_Uri:控制源路径验证
  • MSOTlPn_DWP:用于Web部件配置注入

恶意负载结构

  1. 包含ASP.NET指令: 
    <%@ Register Tagprefix="Scorecard" Namespace="Microsoft.PerformancePoint.Scorecards"
  2. 服务器端标记: 
    Scorecard:ExcelDataSet
  3. 通过CompressedDataTable参数传递GZIP压缩、base64编码的序列化数据

风险分析

风险因素 详情
受影响产品 未安装安全更新的Microsoft SharePoint Server(本地版本)
影响 远程代码执行(RCE)
利用前提 1. 可访问SharePoint服务器的网络
2. 无需认证
3. 可访问/_layouts/15/ToolPane.aspx端点
4. 可发送HTTP POST请求
CVSS 3.1评分 9.8(严重)

防御措施

立即行动

  1. 使用提供的开源工具扫描所有SharePoint服务器
  2. 安装微软安全补丁:
    • KB5002768
    • KB5002754

长期防护

  1. 建立定期漏洞扫描机制
  2. 及时应用所有SharePoint安全更新
  3. 限制对/_layouts/15/ToolPane.aspx端点的访问
  4. 监控异常HTTP POST请求活动

工具验证方法

扫描工具使用无害的概念验证负载,包含以下标记用于验证:

"This is a harmless CVE-2025-53770 PoC marker"

相关参考

  • 该漏洞建立在先前披露的SharePoint漏洞CVE-2025-49706基础上
  • 已观察到攻击者利用此漏洞通过PowerShell编码命令建立持久访问

总结

CVE-2025-53770是一个极其严重的SharePoint漏洞,组织应立即采取行动扫描和修补系统。提供的开源工具是评估环境风险的有效手段,但最终解决方案是应用微软提供的安全更新。

SharePoint零日漏洞CVE-2025-53770检测与防御指南 漏洞概述 CVE-2025-53770是一个影响Microsoft SharePoint Server的严重远程代码执行(RCE)漏洞,CVSS 3.1评分为9.8(严重级)。该漏洞已被野外利用,攻击者可以在无需认证的情况下远程执行任意代码。 受影响版本 未安装安全更新KB5002768和KB5002754的Microsoft SharePoint Server本地版本 漏洞检测工具 工具获取 开源扫描工具托管在GitHub上,可通过以下方式获取: 直接下载源代码或二进制文件 使用Docker容器部署 工具功能 识别易受CVE-2025-53770攻击的SharePoint服务器 提供无害测试,不会造成系统损坏 支持批量扫描多个SharePoint实例 可提取详细的SharePoint版本信息 使用语法 基本扫描命令: 启用调试日志和版本信息: 漏洞技术细节 利用机制 漏洞通过以下路径利用: 关键表单参数: MSOTlPn_Uri :控制源路径验证 MSOTlPn_DWP :用于Web部件配置注入 恶意负载结构 包含ASP.NET指令: 服务器端标记: 通过 CompressedDataTable 参数传递GZIP压缩、base64编码的序列化数据 风险分析 | 风险因素 | 详情 | |---------|------| | 受影响产品 | 未安装安全更新的Microsoft SharePoint Server(本地版本) | | 影响 | 远程代码执行(RCE) | | 利用前提 | 1. 可访问SharePoint服务器的网络 2. 无需认证 3. 可访问/_ layouts/15/ToolPane.aspx端点 4. 可发送HTTP POST请求 | | CVSS 3.1评分 | 9.8(严重) | 防御措施 立即行动 使用提供的开源工具扫描所有SharePoint服务器 安装微软安全补丁: KB5002768 KB5002754 长期防护 建立定期漏洞扫描机制 及时应用所有SharePoint安全更新 限制对/_ layouts/15/ToolPane.aspx端点的访问 监控异常HTTP POST请求活动 工具验证方法 扫描工具使用无害的概念验证负载,包含以下标记用于验证: 相关参考 该漏洞建立在先前披露的SharePoint漏洞CVE-2025-49706基础上 已观察到攻击者利用此漏洞通过PowerShell编码命令建立持久访问 总结 CVE-2025-53770是一个极其严重的SharePoint漏洞,组织应立即采取行动扫描和修补系统。提供的开源工具是评估环境风险的有效手段,但最终解决方案是应用微软提供的安全更新。